空間站大規(guī)模復(fù)雜控制軟件基于數(shù)據(jù)池的軟件框架設(shè)計

尚葳蕤， 黨紀紅， 張錦江， 張丹瑤， 李經(jīng)松

（北京控制工程研究所， 北京 100094）

1 引言

隨著空間站等復(fù)雜航天任務(wù)的實施，軟件作為航天重大工程系統(tǒng)的關(guān)鍵組成部分發(fā)揮著越來越重要的作用，同時隨著航天器越來越智能化和自主化，其軟件規(guī)模和復(fù)雜度持續(xù)增長。 為滿足空間站這類載人復(fù)雜航天器長期在軌高可靠穩(wěn)定運行的要求，軟件在緩解復(fù)雜性、提高可靠性、具有可擴展能力［1］等方面面臨挑戰(zhàn)。 欒恩杰［2］在針對航天器軟件復(fù)雜度的問題中指出，在不可能取消其本質(zhì)復(fù)雜性的條件下，將面臨如何應(yīng)對軟件復(fù)雜性帶來的問題、風(fēng)險、防護等方面的挑戰(zhàn)。

NASA 建立了一套科學(xué)、規(guī)范、有效的軟件工程和質(zhì)量保證標準體系［3?4］，并對飛行軟件的規(guī)模和復(fù)雜度進行了深入研究，于2009 年發(fā)布了《NASA 飛行軟件復(fù)雜度研究報告》［5］，提出了降低和管理復(fù)雜度的建議，探索和驗證了設(shè)計模式和架構(gòu)設(shè)計對于緩解復(fù)雜度的關(guān)鍵意義。 核心飛行軟件系統(tǒng)（core Flight software System，cFS）［6?7］是由NASA 戈達德空間飛行中心（Goddard Space Flight Center，GSFC）推出的一套飛行軟件通用框架，它是一個與硬件平臺、操作系統(tǒng)和特定型號項目無關(guān)的可重用軟件，其設(shè)計優(yōu)點中的分層架構(gòu)、基于組件的設(shè)計、動態(tài)運行、運行時命令／表參數(shù)機制等對于降低復(fù)雜度有重要意義。 目前cFS 已經(jīng)推廣到NASA 的各個航天中心和研究機構(gòu)以及日本、韓國等，得到了廣泛的應(yīng)用。

歐空局也非常重視軟件框架設(shè)計，很早就發(fā)布了關(guān)于AOCS（Attitude and Orbit Control Sys?tem）軟件框架設(shè)計的研究報告［8］，描述了相關(guān)設(shè)計思路和最佳實踐。 報告中專門提到了數(shù)據(jù)池的應(yīng)用，指出在共享數(shù)據(jù)設(shè)計模式中應(yīng)用數(shù)據(jù)池能夠最大程度地實現(xiàn)數(shù)據(jù)產(chǎn)生者與數(shù)據(jù)消費者之間的解耦，并描述了基于數(shù)據(jù)池的數(shù)據(jù)交換模型的實踐實例。 此外，還提出了航天航空開放接口架構(gòu)（Space Avionics Open Interface aRchitecture，SAVOIR）［9］，通過使用和航天器接口服務(wù)（Space?craft Onboard Interface Service，SOIS）定義的一系列服務(wù)以及自定義服務(wù)，構(gòu)成了一個通用軟件執(zhí)行平臺來支持上層應(yīng)用，形成了可配置、可即插即用、基礎(chǔ)夯實、向上開放并可不斷擴展的體系架構(gòu)。

現(xiàn)代航空飛行器系統(tǒng)也已將開放式系統(tǒng)架構(gòu)思想引入機載軟件開發(fā)中，如分布式綜合模塊化航空電子系統(tǒng)（Distributed Integrated Modular Avi?onics， DIMA）［10］和未來機載能力環(huán)境（Future Airborne Capability Environment，F(xiàn)ACE）標準［11］，旨在航電系統(tǒng)中通過定義軟件標準接口、建立標準組件來滿足不同系統(tǒng)間軟件復(fù)用的要求。FACE 標準包含5 個組件段，通過功能分段、封裝隔離的方式實現(xiàn)了軟硬件之間的解耦。 其中，平臺特定服務(wù)、傳輸服務(wù)和IO 服務(wù)組件段都是為解決系統(tǒng)間的數(shù)據(jù)傳輸業(yè)務(wù)設(shè)計的，提供了標準化數(shù)據(jù)接口，實現(xiàn)數(shù)據(jù)的獲取和傳遞，同時還實現(xiàn)了多信息源數(shù)據(jù)融合、資源共享以及多操作面的功能分配，進行實時動態(tài)的數(shù)據(jù)分發(fā)，為可移植單元間的數(shù)據(jù)交互提供了一種互操作方法。

制導(dǎo)、導(dǎo)航與控制（Guidance， Navigation and Control， GNC）系統(tǒng)作為空間站任務(wù)的核心分系統(tǒng)，完成空間站多艙段的姿態(tài)與軌道控制任務(wù)，其控制軟件規(guī)模大、功能復(fù)雜。 按照GJB8000－2013《軍用軟件研制能力等級要求》［12］的規(guī)定，超過十萬行的嵌入式軟件屬于巨型規(guī)模，空間站GNC 系統(tǒng)控制軟件已步入巨型規(guī)模的范疇。

在調(diào)研國外航天航空機構(gòu)在大規(guī)模復(fù)雜軟件框架設(shè)計和可擴展性標準化數(shù)據(jù)設(shè)計思路和經(jīng)驗的基礎(chǔ)上，本文針對空間站GNC 系統(tǒng)控制軟件復(fù)雜度高、可靠性和可擴展性要求高等特點對軟件框架設(shè)計開展研究，提出基于數(shù)據(jù)池的軟件框架設(shè)計方法，并給出應(yīng)用效果。

2 大規(guī)模復(fù)雜控制軟件設(shè)計需求分析

空間站由多個航天器在軌組裝建造而成，是具有長壽命、高可靠、可維修等特點的載人航天器。 其中，GNC 系統(tǒng)作為航天器的關(guān)鍵分系統(tǒng)，能夠完成空間站整個飛行和組裝建造階段的姿態(tài)軌道控制任務(wù)。 天和、問天、夢天各艙段各自具有完整的GNC 系統(tǒng)，分別作為目標器以及追蹤器完成在軌交會對接等組裝建造，并在形成組合體之后完成不同構(gòu)型的姿態(tài)軌道控制任務(wù)。 實現(xiàn)GNC 系統(tǒng)任務(wù)的控制軟件具有如下需求特點：

1）穿艙總線信息架構(gòu)復(fù)雜，多艙資源融合使用、冗余備份，IO 數(shù)據(jù)管理復(fù)雜。 為實現(xiàn)空間站各艙控制系統(tǒng)資源的融合使用，多艙GNC 系統(tǒng)設(shè)計了4 條超200 m 的1553 總線，交叉聯(lián)通了各艙的200 余臺套設(shè)備，構(gòu)建了基于1553B 總線的GNC 多艙段信息架構(gòu)，實現(xiàn)了整站各艙所有控制系統(tǒng)資源的完全融合使用、冗余備份和動態(tài)重構(gòu)，是目前國內(nèi)在軌應(yīng)用的總線長度最長、設(shè)備數(shù)據(jù)最多、規(guī)模最為龐大的1553B 信息架構(gòu)，需要軟件具有多艙段多總線資源管理的能力。 同時由于總線掛接部件多，如果采用傳統(tǒng)控制軟件針對每個部件定制式的IO 處理方式，軟件將非常復(fù)雜，要緩解復(fù)雜度需要軟件針對IO 處理進行通用化設(shè)計。

2）控制器采用拜占庭四機容錯結(jié)構(gòu)［13］，四機軟件數(shù)據(jù)無容差同步運行。 空間站四機容錯系統(tǒng)中每個單機控制不同的總線完成不同的IO 工作，四機需要協(xié)同完成分布式數(shù)據(jù)采集和控制量輸出，而控制算法計算和控制輸出決策需要四機熱備份系統(tǒng)以無容差方式完全一致運行，因此需要軟件實現(xiàn)四機之間IO 數(shù)據(jù)的實時交互和數(shù)據(jù)無容差同步運行的需求。

3）空間站對擴展能力的要求，需要在設(shè)計階段考慮可擴展性。 空間站早期構(gòu)想階段就提出了擴展需求，指出空間站建造完成后，應(yīng)具備良好的艙段擴展、能源擴展和應(yīng)用支持擴展能力［1］，需要軟件能夠適應(yīng)后續(xù)更多擴展艙段的資源管理。因此軟件需要在架構(gòu)設(shè)計時考慮可擴展需求，以軟件定義標準化數(shù)據(jù)接口、建立標準組件等思路開展軟件框架設(shè)計。

基于上述需求特點和設(shè)計難點，空間站控制軟件需要在多艙軟件統(tǒng)一框架設(shè)計和數(shù)據(jù)設(shè)計上尋求突破，使得軟件框架具備多艙段多機多總線的資源管理能力、可靠高效的數(shù)據(jù)管理能力和可移植和可擴展能力。

3 基于數(shù)據(jù)池的軟件框架設(shè)計

3.1 IO 數(shù)據(jù)池設(shè)計

參考FACE 標準IO 服務(wù)段和傳輸服務(wù)段關(guān)于交互數(shù)據(jù)標準化接口的設(shè)計思路，針對空間站多艙多機多總線信息融合和冗余管理的特點，本文引入數(shù)據(jù)池的思想進行IO 數(shù)據(jù)的獲取和傳遞，并將所有交互數(shù)據(jù)進行抽象，設(shè)計統(tǒng)一的格式開辟數(shù)據(jù)池。 如圖1 所示，在原始通信和數(shù)據(jù)處理之間增加設(shè)計了2 個數(shù)據(jù)池，分別存放輸入交換比對數(shù)據(jù)和輸出交換比對數(shù)據(jù)。 同時該方法不局限于1553 總線體系，也適用于CAN 總線、串口、SPW 總線等各種類型的接口。

圖1 IO 數(shù)據(jù)池的開辟Fig.1 Development of IO data pool

每個數(shù)據(jù)池的數(shù)據(jù)項按照不同的部件分別存放，數(shù)據(jù)池中每個數(shù)據(jù)項有唯一標識，需明確數(shù)據(jù)的標識符、屬性以及數(shù)據(jù)內(nèi)容等信息。 通過數(shù)據(jù)標識與其實際部件和設(shè)備來源進行掛接，并根據(jù)系統(tǒng)實際需求來分配數(shù)據(jù)項的大小。 數(shù)據(jù)池的格式示例見圖2，數(shù)據(jù)池中數(shù)據(jù)項格式示例見表1。

表1 IO 數(shù)據(jù)池數(shù)據(jù)項格式定義Table 1 Definition of data item format in IO data pool

圖2 IO 數(shù)據(jù)池格式Fig.2 Format of IO data pool

3.2 四機分布式多總線IO 數(shù)據(jù)同步設(shè)計

基于空間站GNC 系統(tǒng)多艙段多機多總線容錯系統(tǒng)的信息融合及冗余管理架構(gòu)，需要將四機分布式獲取的數(shù)據(jù)進行交互、融合和同步。 針對該問題軟件提出了拜占庭四機容錯結(jié)構(gòu)的實時無容差同步運行技術(shù)方案，設(shè)計了四機數(shù)據(jù)交換比對同步方法，通過對數(shù)據(jù)池中的數(shù)據(jù)進行多輪交換實現(xiàn)了多機信息共享，設(shè)計了多策略綜合選舉算法，實現(xiàn)了多機數(shù)據(jù)的實時融合對齊，實現(xiàn)了四機之間單源數(shù)據(jù)、多源同步數(shù)據(jù)、多源異步數(shù)據(jù)等不同類型且大數(shù)據(jù)量交互IO 數(shù)據(jù)的無容差精確同步。 IO 數(shù)據(jù)同步設(shè)計方法示意圖如圖3 所示。

圖3 IO 數(shù)據(jù)同步設(shè)計Fig.3 IO data synchronous design

3.3 數(shù)據(jù)池中數(shù)據(jù)項的快速訪問機制設(shè)計

由于空間站數(shù)據(jù)池中數(shù)據(jù)項非常多，且每個控制周期的采集、處理和輸出等多個環(huán)節(jié)需要多次訪問，如果采用遍歷查詢，將嚴重影響實時控制軟件的性能。 軟件設(shè)計了如圖4 所示的快速訪問機制，通過對多艙、多機、多總線和數(shù)據(jù)之間的關(guān)系進行建模，建立了數(shù)據(jù)標識、數(shù)據(jù)屬性和數(shù)據(jù)內(nèi)容之間復(fù)雜的分層關(guān)聯(lián)關(guān)系和相互映射的多層緩沖機制。 同時為確保數(shù)據(jù)訪問性能最壞情況可確定，建立了2 級靜態(tài)索引表訪問和動態(tài)查詢關(guān)系表相結(jié)合的方法，實現(xiàn)了在數(shù)據(jù)采集、輸入交換比對、控制算法計算、輸出交換比對、控制輸出等數(shù)據(jù)實時處理全過程的高效、可靠訪問管理。

圖4 數(shù)據(jù)項快速訪問機制設(shè)計Fig.4 Design of fast access mechanism for data items

3.4 基于數(shù)據(jù)池的軟件框架設(shè)計

進行基于數(shù)據(jù)池的空間站多艙軟件統(tǒng)一框架整體設(shè)計，主要原則包括：

1）分層設(shè)計。 將功能分為接口層、通用服務(wù)層和應(yīng)用層，層間通過通用接口訪問，實現(xiàn)通用功能和可變功能分離；同時解除頂層應(yīng)用算法與IO數(shù)據(jù)耦合，解除IO 數(shù)據(jù)與硬件、協(xié)議的耦合；

2）功能模塊化。 將每層劃分為多個功能單元，針對功能單元通過代碼模板明確接口形式，確保功能單元之間僅有較少的、清晰且穩(wěn)定的接口；

3）數(shù)據(jù)接口標準化。 通過提供IO 數(shù)據(jù)獲取、傳遞、融合、同步和管理的標準化數(shù)據(jù)接口和組件，緩解軟件復(fù)雜度，提高可移植性和擴展性。

空間站大規(guī)模復(fù)雜控制軟件基于數(shù)據(jù)池的軟件框架設(shè)計如圖5 所示。

圖5 基于數(shù)據(jù)池的軟件框架設(shè)計Fig.5 Design of software framework based on data pool

4 應(yīng)用

空間站3 個艙的GNC 系統(tǒng)控制軟件使用上述基于數(shù)據(jù)池的軟件框架設(shè)計方法進行了分層、功能模塊化和數(shù)據(jù)接口標準化的統(tǒng)一設(shè)計，使得多艙軟件的底層接口層和通用服務(wù)層框架代碼完全一致。 同時設(shè)計了多個包含總線配置、單機設(shè)備配置、通信狀態(tài)設(shè)置等眾多信息的配置參數(shù)表來區(qū)分數(shù)據(jù)池數(shù)據(jù)的屬性，實現(xiàn)了約300 個輸入數(shù)據(jù)項、200 個輸出數(shù)據(jù)項，共超過32 KBytes 采集數(shù)據(jù)和8 KBytes 輸出數(shù)據(jù)的高效存儲、訪問和同步，以輸入交換比對數(shù)據(jù)池為例，相關(guān)設(shè)計及應(yīng)用結(jié)果如表2 所示。

表2 輸入交換比對數(shù)據(jù)池設(shè)計結(jié)果Table 2 Design results of input exchange comparison data pool

該框架解決了空間站大規(guī)模復(fù)雜控制軟件多艙段多機多總線資源管理和具備可擴展性的難題，實現(xiàn)了軟件復(fù)雜的底層通信與上層應(yīng)用處理之間的數(shù)據(jù)隔離和解耦，使得多艙軟件復(fù)用率達到70%，并具備后續(xù)可擴展能力。 相比國外先進航天航空機構(gòu)的成熟軟件架構(gòu)，本文設(shè)計方法重點在嵌入式軟件框架的數(shù)據(jù)標準化設(shè)計方面取得了研究成果，還未能形成如cFS、FACE 等的行業(yè)軟件標準架構(gòu)。 后續(xù)可以進一步抽象提煉航天器軟件的基本系統(tǒng)組織，包含構(gòu)件、構(gòu)件之間、構(gòu)件與環(huán)境之間的關(guān)系，建立開放、動態(tài)和可擴展的構(gòu)件運行環(huán)境，通過文檔化和模型化不斷提高構(gòu)件接口成熟等級，形成模型化的軟件復(fù)用能力。

5 結(jié)論

空間站GNC 系統(tǒng)控制軟件在研制過程中應(yīng)用了本文提出的基于數(shù)據(jù)池的軟件框架設(shè)計方法，形成了層次化、模塊化和數(shù)據(jù)標準化的統(tǒng)一框架，有效解決了軟件復(fù)雜性問題，提高了軟件復(fù)用率和可擴展能力。

為了有效保證空間站GNC 系統(tǒng)控制軟件這類大規(guī)模復(fù)雜軟件的質(zhì)量和研制進度需求，還應(yīng)形成以軟件架構(gòu)為核心的軟件開發(fā)過程，即以軟件架構(gòu)描述為系統(tǒng)藍圖，以共性點、差異點和關(guān)注點等特征模型為設(shè)計起點，基于中間件技術(shù)通過組裝、部署和維護的方式進行開發(fā)。

后續(xù)將進一步貫徹“硬件標準通用，軟件定義系統(tǒng)”的系統(tǒng)設(shè)計理念，在建立航天器軟件行業(yè)通用架構(gòu)模型，形成跨組織的軟件復(fù)用標準和資產(chǎn)方面繼續(xù)開展研究。